Tokentyveri (Pass the Cookie / session hijacking)

Tokentyveri er når en angriper stjeler et gyldig innloggingstoken – ofte en session‑cookie eller et annet sesjonstoken – og bruker det til å logge seg inn som offeret, uten å kjenne passordet og uten å trigge flerfaktorautentisering (MFA) på nytt. Tokenet fungerer som et digitalt adgangskort: så lenge det er gyldig, regnes brukeren som innlogget.

Når en bruker logger inn i en skytjeneste eller webapplikasjon, opprettes det som regel et sesjonstoken som lagres i nettleseren eller i appen. Ved tokentyveri stjeler angriperen dette tokenet fra brukerens enhet – for eksempel via skadevare (infostealer), en ondsinnet nettleserutvidelse eller dårlig sikret klient – og importerer det inn i sin egen nettleser eller sitt eget verktøy. Systemet tror da at angriperen er den ekte brukeren, fordi tokenet i seg selv er gyldig og allerede godkjent.

Det gjør tokentyveri spesielt effektivt mot skytjenester og SaaS‑løsninger der mange har MFA, men der en gyldig sesjon kan leve lenge uten ekstra kontroll.

Hvordan beskytte seg mot tokentyveri?

• Betinget tilgang (Conditional Access):
  Krev ny innlogging eller ekstra kontroll hvis et token brukes fra en ny IP‑adresse, et uvanlig land eller en ukjent enhet.
• Kortere sesjonslevetid:
  La sesjoner utløpe raskere, slik at et stjålet token har kortere «levetid» før det blir ubrukelig.
• Overvåking av kontoer og skytjenester:
  Følg med på uvanlige innlogginger, nedlastinger, endringer i e‑post (som videresending) og andre mistenkelige aktiviteter.
• Sikre klientene:
  Beskytt brukernes enheter mot skadevare, og vær forsiktig med hvilke programmer og nettleserutvidelser som får tilgang til nettleserdata.

Hvis du vil, kan jeg nå også komprimere disse til «kortversjoner» for en eventuell hover‑forklaring eller kortliste, og beholde disse som fullversjoner på selve oppslagsiden.